Procedura Bezpiecznego Przetwarzania Danych Osobowych W Trakcie Pracy Zdalnej – Księgowość z KSeF

 

Procedura bezpiecznego przetwarzania danych osobowych w trakcie pracy zdalnej

(dla działu księgowości / biura rachunkowego)

1. Cel procedury

Celem niniejszej procedury jest określenie zasad bezpiecznego przetwarzania danych osobowych w trakcie wykonywania pracy zdalnej w obszarze księgowości, w sposób zapewniający zgodność z RODO oraz szczególny poziom ochrony danych finansowych, kadrowych i podatkowych.

Procedura uwzględnia podwyższone ryzyko związane z przetwarzaniem m.in. danych identyfikacyjnych, płacowych, bankowych oraz danych szczególnych kategorii (np. dane o zdrowiu zawarte w dokumentacji kadrowo-płacowej).

2. Zakres procedury

Procedura ma zastosowanie do wszystkich osób wykonujących pracę zdalną w obszarze księgowości, w szczególności: - pracowników działu księgowości, - pracowników biur rachunkowych, - współpracowników B2B, - osób prowadzących obsługę kadrowo-płacową, - innych osób upoważnionych do przetwarzania danych w systemach finansowo-księgowych.

3. Definicje

·       ADO – Administrator Danych Osobowych,

·       praca zdalna – wykonywanie czynności księgowych poza siedzibą ADO,

·       dane osobowe – dane w rozumieniu art. 4 pkt 1 RODO, w tym dane pracownicze, kontrahentów i klientów,

·       dane wrażliwe – dane szczególnych kategorii przetwarzane w ramach dokumentacji kadrowej.

4. Odpowiedzialność

1.       ADO odpowiada za wdrożenie, nadzór i aktualizację procedury.

2.       Osoby wykonujące pracę zdalną odpowiadają za zgodne z procedurą przetwarzanie danych oraz zachowanie tajemnicy księgowej i zawodowej.

5. Zakres i zasady przetwarzania danych w księgowości zdalnej

1.       Dane osobowe mogą być przetwarzane wyłącznie w zakresie niezbędnym do realizacji:

o   obowiązków księgowych i podatkowych,

o   obsługi kadrowo-płacowej,

o   obowiązków sprawozdawczych.

2.       Zabronione jest kopiowanie danych „na zapas” oraz tworzenie prywatnych archiwów dokumentów.

3.       Każda osoba przetwarzająca dane musi posiadać imienne upoważnienie.

6. Organizacja stanowiska pracy zdalnej

1.       Praca zdalna musi być wykonywana w miejscu:

o   zapewniającym poufność danych finansowych,

o   uniemożliwiającym wgląd osób trzecich w dokumenty księgowe.

2.       Zabronione jest przetwarzanie danych księgowych w miejscach publicznych.

3.       Dokumenty papierowe (faktury, listy płac, umowy) należy przechowywać w zamkniętych szafach lub pojemnikach.

7. Zasady korzystania ze sprzętu i systemów księgowych

1.       Dane osobowe mogą być przetwarzane wyłącznie na sprzęcie zatwierdzonym przez ADO.

2.       Systemy finansowo-księgowe muszą:

o   posiadać indywidualne konta użytkowników,

o   rejestrować logi dostępu,

o   być regularnie aktualizowane.

3.       Zabronione jest eksportowanie danych do plików lokalnych bez zgody ADO.

4.       Nośniki danych muszą być szyfrowane.

8. Bezpieczeństwo połączeń i transmisji danych

8A. Szczególne zasady bezpieczeństwa w związku z korzystaniem z KSeF

1. Dostęp do Krajowego Systemu e-Faktur (KSeF) w ramach pracy zdalnej może odbywać się wyłącznie:

o   z wykorzystaniem kont i uprawnień nadanych zgodnie z zasadami określonymi przez ADO,

o   z użyciem sprzętu zatwierdzonego przez ADO.

2. Zabronione jest korzystanie z KSeF z prywatnych urządzeń lub kont niezarejestrowanych w systemach ADO.
3. Dane uwierzytelniające do KSeF (tokeny, certyfikaty, dane dostępowe) podlegają szczególnej ochronie i nie mogą być:

o   udostępniane osobom trzecim,

o   przechowywane w formie jawnej,

o   przesyłane za pośrednictwem niezabezpieczonych kanałów komunikacji.

4. Uprawnienia w KSeF powinny być nadawane zgodnie z zasadą minimalizacji i okresowo weryfikowane.
5. Dostęp do systemów księgowych musi odbywać się z wykorzystaniem:

o   VPN lub innych bezpiecznych połączeń,

o   uwierzytelniania wieloskładnikowego (jeśli dostępne).

6. Przesyłanie dokumentów księgowych odbywa się wyłącznie za pośrednictwem zatwierdzonych kanałów komunikacji.
7. Zabronione jest korzystanie z prywatnych skrzynek e-mail i prywatnych chmur.

9. Przetwarzanie dokumentów księgowych i faktur w KSeF

1.       Faktury ustrukturyzowane przetwarzane w KSeF stanowią dokumentację zawierającą dane osobowe kontrahentów i osób fizycznych.

2.       Zabronione jest pobieranie faktur z KSeF na lokalne nośniki, o ile nie jest to niezbędne do realizacji obowiązków księgowych.

3.       W przypadku pobrania dokumentu z KSeF, pliki muszą:

o   być przechowywane wyłącznie tymczasowo,

o   zostać usunięte po wprowadzeniu danych do systemu księgowego.

4.       Eksport danych z KSeF do systemów finansowo-księgowych musi odbywać się z użyciem narzędzi zatwierdzonych przez ADO.

5.       Zabronione jest przekazywanie faktur pobranych z KSeF klientom lub kontrahentom z wykorzystaniem prywatnych skrzynek e-mail.

10. Przetwarzanie dokumentacji kadrowo-płacowej

1.       Dokumentacja kadrowo-płacowa podlega szczególnej ochronie.

2.       Zabronione jest drukowanie list płac i dokumentów kadrowych bez uzasadnionej potrzeby.

3.       Dane kadrowe nie mogą być przechowywane lokalnie po zakończeniu pracy.

11. Usuwanie i archiwizacja danych

1.       Dane osobowe należy archiwizować wyłącznie w systemach ADO.

2.       Po zakończeniu pracy zdalnej wszelkie lokalne kopie danych muszą zostać usunięte.

3.       Niszczenie dokumentów papierowych odbywa się zgodnie z obowiązującą procedurą archiwizacji.

12. Naruszenia ochrony danych osobowych (w tym KSeF)

1. Za naruszenie ochrony danych w kontekście KSeF uznaje się w szczególności:

o   nieuprawniony dostęp do konta KSeF,

o   utratę tokenu lub certyfikatu,

o   błędne nadanie uprawnień w KSeF,

o   pobranie lub udostępnienie faktur osobom nieuprawnionym.

2. Każde podejrzenie naruszenia należy niezwłocznie zgłosić ADO.
3. Osoby wykonujące pracę zdalną są zobowiązane do natychmiastowego podjęcia działań ograniczających skutki incydentu.
4. Każde podejrzenie naruszenia (np. wysłanie faktury do błędnego odbiorcy, utrata laptopa, nieuprawniony dostęp do systemu) należy niezwłocznie zgłosić.
5. Osoby wykonujące pracę zdalną są zobowiązane do współpracy przy analizie incydentu.

13. Szkolenia i poufność

1.       Przed dopuszczeniem do pracy zdalnej osoby przetwarzające dane księgowe muszą odbyć szkolenie z RODO i bezpieczeństwa informacji.

2.       Obowiązek zachowania poufności obowiązuje również po zakończeniu współpracy.

14. Postanowienia końcowe

1.       Procedura wchodzi w życie z dniem zatwierdzenia przez ADO.

2.       Naruszenie procedury może skutkować odpowiedzialnością porządkową, cywilną lub umowną.

3.       Procedura podlega okresowym przeglądom, nie rzadziej niż raz w roku.

Jak szeroki wachlarz kompetencji powinien mieć Inspektor Ochrony Danych (IOD)

 

Umiejętności Inspektora Ochrony Danych – znacznie więcej niż prawo

W przestrzeni publicznej coraz częściej pojawiają się publikacje i opinie na temat RODO oraz roli Inspektora Ochrony Danych (IOD). Niestety, część z nich nie jest neutralna – reprezentują interesy określonych środowisk zawodowych lub biznesowych. Problem polega na tym, że wykrycie takiego przekazu bywa trudne i wymaga stosowania krytycznego myślenia. A to umiejętność, której wielu ludzi – nawet wysoko wykształconych – nie używa w naturalny sposób. Efekt? Przyjmowanie jednostronnych narracji bez refleksji i podejmowanie decyzji w oparciu o zakodowane „kotwice”.

Dobrym przykładem jest powszechny pogląd, że RODO to wyłącznie domena prawników. To przekonanie jest nie tylko uproszczeniem, ale wręcz szkodliwym stereotypem. W rzeczywistości prawo to jedynie fragment kompetencji IOD. Skuteczny inspektor musi dysponować szeroką, interdyscyplinarną wiedzą i umiejętnościami, obejmującymi obszary znacznie wykraczające poza legislację.

1. Ochrona fizyczna

RODO dotyczy nie tylko danych w formie cyfrowej. Dane osobowe przechowywane są również w formie papierowej – w archiwach, segregatorach, dokumentach roboczych. IOD powinien znać zasady bezpieczeństwa fizycznego, takie jak kontrola dostępu, monitoring, procedury wejścia do stref chronionych, zabezpieczenia przeciwpożarowe czy systemy kontroli pracy personelu. To właśnie od tej warstwy często zaczyna się bezpieczeństwo całego procesu przetwarzania.

2. Cyberbezpieczeństwo

Nowoczesne systemy informatyczne są podstawowym nośnikiem danych osobowych. Inspektor musi zrozumieć zasady działania sieci, szyfrowania, firewalli, systemów IDS (System Wykrywania Włamań ) /IPS (System Zapobiegania Włamaniom), a także znać praktyki zarządzania podatnościami i reagowania na incydenty. Choć IOD nie jest administratorem systemów, musi umieć z nimi rozmawiać i weryfikować, czy stosowane zabezpieczenia są adekwatne do ryzyk.

3. Wywiad elektroniczny i techniczny

IOD powinien być świadomy, że zagrożenia płyną nie tylko ze strony wewnętrznych błędów organizacyjnych czy zwykłego cyberprzestępstwa. W grę wchodzi także możliwość wykorzystania zaawansowanych narzędzi szpiegowskich, ataków socjotechnicznych czy analizowania metadanych. Umiejętność identyfikacji takich ryzyk i zrozumienie metod wywiadu elektronicznego daje przewagę w ocenie faktycznych zagrożeń.

4. Znajomość procesów biznesowych

Prawo i bezpieczeństwo to tylko część układanki. IOD musi znać procesy biznesowe „od podszewki”, aby rozumieć, jak i dlaczego dane są przetwarzane. To oznacza umiejętność mapowania procesów, identyfikowania punktów krytycznych i oceny, czy dany proces jest zgodny z zasadą minimalizacji. Dzięki temu IOD staje się partnerem dla zarządów i menedżerów, a nie tylko formalnym „kontrolerem”.

5. Umiejętność przewidywania zagrożeń i podatności

Najważniejsza kompetencja IOD to zdolność przewidywania. Chodzi o analizę ryzyk i podatności na każdym etapie cyklu życia danych – od ich pozyskania, przez przechowywanie, aż po usunięcie. Inspektor powinien potrafić prognozować konsekwencje wdrażania nowych technologii, rozpoznawać potencjalne „słabe punkty” w procedurach i wskazywać działania zapobiegawcze.

---

Podsumowanie

Rola Inspektora Ochrony Danych jest zdecydowanie bardziej złożona, niż wynikałoby to z popularnych opinii. Prawo jest tylko jednym z narzędzi w arsenale IOD. Skuteczny inspektor to interdyscyplinarny ekspert, który łączy wiedzę prawną, techniczną, organizacyjną i biznesową.

Dlatego redukowanie zawodu IOD do „prawnika od RODO” to nieporozumienie. To właśnie szerokie kompetencje – od cyberbezpieczeństwa po znajomość procesów biznesowych – czynią z niego kluczowego strażnika prywatności i bezpieczeństwa danych w organizacji.

Fałszywe rekrutacje mogą służyć do

 

Czy fałszywe rekrutacje mogą służyć do zbierania danych z Twojego komputera?

To już nie jest teoria.

Coraz częściej pojawiają się „rekrutacje”, które:
👉 wyglądają wiarygodnie
👉 prowadzą przez profesjonalne platformy lub aplikacje
👉 kończą się… instalacją oprogramowania

I tu zaczyna się prawdziwy problem.

---

🔎 W takim scenariuszu aplikacja może:

• zbierać dane z Twojego urządzenia (pliki, historia aktywności)
• przechwytywać loginy i hasła
• monitorować, co robisz na komputerze
• działać w tle — nawet po zakończeniu „testu”

A w bardziej zaawansowanych przypadkach:
⚠️ usuwać po sobie ślady przy deinstalacji
⚠️ ukrywać zakres zbieranych danych
⚠️ pozostawiać komponenty działające dalej

---

💣 Co to oznacza dla ofiary?

1. Utrata kontroli nad danymi
Nie wiesz, co dokładnie zostało skopiowane — i gdzie trafiło.

2. Ryzyko kradzieży tożsamości
CV + dane systemowe + loginy = gotowy zestaw do podszywania się.

3. Dostęp do kont firmowych
Szczególnie groźne, jeśli korzystasz z komputera służbowego.

4. Długofalowe skutki
Dane mogą być sprzedawane, wykorzystywane w atakach phishingowych lub… trenowaniu modeli (bez Twojej wiedzy).

---

⚖️ A co na to RODO?

W takich przypadkach najczęściej:
❌ nie ma żadnej podstawy prawnej
❌ nie ma obowiązku informacyjnego
❌ mamy do czynienia z naruszeniem, a często po prostu z cyberprzestępstwem

To nie „szara strefa”.

To czyste nadużycie lub oszustwo.

---

🚩 Sygnały ostrzegawcze:

• konieczność instalacji „specjalnej aplikacji”
• brak jasnych informacji o firmie
• presja czasu („zrób test dziś”)
• dziwne uprawnienia (np. dostęp do całego systemu)

---

📌 Wniosek:

Największym zagrożeniem nie jest dziś AI w rekrutacji.

Tylko fałszywe procesy, które udają legalne działania.

Bo kiedy oddajesz dane „rekruterowi” —
często nie masz już nad nimi żadnej kontroli.

---

Masz takie doświadczenia?
Albo widziałeś podejrzaną rekrutację?
Warto o tym mówić — bo skala problemu rośnie.

Proces rekrutacyjny pod kątem zgodności z RODO

 

Żeby „przejrzeć proces rekrutacyjny pod kątem zgodności z RODO”, zwykle analizuje się kilka kluczowych obszarów. Oto jak wygląda taki mini-audyt i jakie informacje od Ciebie byłyby potrzebne:

---

✅ 1. Etap pozyskiwania danych

Sprawdzamy:

• Czy kandydaci dostają poprawną i pełną klauzulę informacyjną?
• Czy wiesz, na jakiej podstawie prawnej przetwarzasz CV (najczęściej art. 6 ust. 1 lit. b lub c)?
• Czy nie zbierasz więcej danych, niż to konieczne (np. zdjęcia, PESEL, stan cywilny – zwykle zbędne)?

Do oceny potrzebuję: aktualnej klauzuli i informacji, gdzie jest publikowana.

---

✅ 2. Narzędzia i systemy rekrutacyjne (ATS, AI, testy)

Weryfikujemy:

• Czy używasz narzędzi, które automatycznie analizują kandydatów (np. AI, scoring, testy z algorytmami).
• Czy kandydaci są o tym wyraźnie poinformowani.
• Czy masz podpisane umowy powierzenia z dostawcami.

Do oceny potrzebuję: listy narzędzi wykorzystywanych w rekrutacji.

---

✅ 3. Przechowywanie danych

Sprawdzamy:

• Jak długo przechowujesz CV?
• Czy masz oddzielną zgodę na przyszłe rekrutacje?
• Czy Twoje terminy są zgodne z zasadą minimalizacji?

Do oceny potrzebuję: opis praktyk retencji danych.

---

✅ 4. Udostępnianie danych

Analizujemy:

• Czy dane trafiają do managerów, klientów, innych oddziałów?
• Czy odbywa się to zgodnie z RODO i zasadą ograniczenia dostępu?

---

✅ 5. Prawa kandydata

Weryfikujemy:

• Czy kandydat może łatwo wykonać prawa RODO (usunięcie, sprostowanie, sprzeciw)?
• Czy macie opracowane procedury obsługi takich wniosków?

---

Umowa powierzenia danych osobowych diabeł tkwi w szczegółach

Znaczenie umowy powierzenia przetwarzania danych osobowych

Umowa powierzenia jest niezbędnym instrumentem prawnym, gdy Twoja firma (Administrator) zleca wykonanie usług podmiotowi zewnętrznemu (Procesorowi), co wiąże się z dostępem do danych osobowych (np. firma ochroniarska, biuro rachunkowe, firma IT, zewnętrzna kadrowa).
Kluczowe funkcje umowy:Legalność (Art. 28 RODO): Jest to obowiązek prawny. Brak pisemnej (lub elektronicznej) umowy przy przekazaniu danych podwykonawcy jest naruszeniem RODO, za które grożą kary finansowe.
Określenie granic: Precyzuje, co Procesor może robić z danymi (cel, zakres, czas), a czego mu nie wolno (np. nie może wykorzystywać danych Twoich pracowników do własnych celów marketingowych).
Gwarancja bezpieczeństwa: Procesor zobowiązuje się do wdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych, aby chronić dane przed wyciekiem.
Odpowiedzialność (Zasada rozliczalności): Umowa daje Ci prawo do kontroli i audytu u podwykonawcy. Pozwala wykazać przed urzędem (np. UODO), że dbasz o bezpieczeństwo danych na każdym etapie ich przetwarzania.

Kluczowy zapis umowy na przykładzie ochrony na biurze przepustek:

1.     Administrator jest uprawniony do powierzenia przetwarzania danych Podmiotowi przetwarzającemu oraz powierza mu dane zgromadzone zgodnie z obowiązującymi przepisami prawa.

2. Przedmiot przetwarzania: prowadzenie książki wejść i wyjść oraz wypisywanie przepustek jednorazowych. Obserwacja terenu poprzez urządzenia monitoringu.

3.   Charakter przetwarzania: książka jest prowadzona w formie papierowej do zapełnienia (ok 1 miesiąca) i przekazywana do p. Janusza Kowala, który wyda nową książkę. Przepustki są prowadzone w formie papierowej, do wyczerpania bloczku a wydane i zwrócone są przekazywane co zmianę do p. Janusza Kowala. Obserwacja na monitorze bez możliwości zapisu, utrwalania czy powielania obrazu lub zapisu.

4.   Cel przetwarzania: świadczenie usługi rejestracji w zakresie wejścia i wyjścia na teren firmy na biurze przepustek. Nadzór nad terenem z użyciem monitoringu Administratora .  W budynku Akwarium pokój 107.

5.     Rodzaj i kategoria przetwarzanych danych: …………………………

W zakresie książki wejścia i wyjścia:

a.     Imię i Nazwisko;

b.     PESEL lub nr dokumentu tożsamości; !!!!Uwaga: sprawdź czy przepisy pozwalają gromadzić te dane, ponieważ brak podstawy nie pozwala spisywać numer PESEL. To częsty błąd !!!!!!

W zakresie przepustki jednorazowej:

a.     Imię i Nazwisko;

 

W zakresie monitoringu:

a.     wizerunek;

6.     Kategorie osób, których dane dotyczą:

W zakresie książki wejścia i wyjścia:

a.     Goście;

b.     Kandydaci do pracy;

c.      Wnioskodawcy.

W zakresie przepustki jednorazowej:

a.     Goście;

b.     Kandydaci do pracy;

c.      Wnioskodawcy.

W zakresie monitoringu:

a.     Kandydaci do pracy.

b.     Pracownicy.

c.      Potencjalni klienci.

d.     Klienci.

e.      Potencjalni kontrahenci.

f.       Kontrahenci.

g.     Osoby trzecie znajdujące się na terenie monitorowanym.;

Zawsze podawaj dane kontaktowe osób odpowiedzialnych za realizację umowy głównej, ponieważ tam też trafi informacja o naruszeniu. Jak podadzą mail "sekretariatu" to cała firma będzie szukać o kogo chodzi i po wielu godzinach lub dniach trafią do nich a ty masz 
tylko 72 godziny na reakcję. 

Postanowienia końcowe

1.     Strony wyznaczają następujące osoby do kontaktu w sprawie powierzonych danych osobowych:

Po stronie Administratora:

W zakresie usługi rejestracji:

Janusz Kowal emalii: jkowal@firma.com.pl , tel (32) 432 …………..

W zakresie monitoringu:

Alojzy Oko emalii: aoko@firma.com.pl , tel (32) 432 …………..

 

Po stronie Wykonawcy: ………………………………………..